Главная • База знаний • Алерты • В Госдуму внесен законопроект об увеличении штрафов за отсутствие письменного согласия субъекта персональных данных, а также об административной ответственности за нарушения при обработке биометрии

11.05.2023

9 мин. на чтение

В Госдуму внесен законопроект об увеличении штрафов за отсутствие письменного согласия субъекта персональных данных, а также об административной ответственности за нарушения при обработке биометрии

Юридическая компания «Пепеляев Групп» сообщает, что 4 мая 2023 г. в Госдуму внесен законопроект № 353266-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Законопроект), предусматривающий значительное увеличение штрафов за обработку персональных данных без согласия субъекта в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством, а также штрафов за обработку биометрических персональных данных с нарушением установленных законодательством требований.

Законопроект предусматривает внесение в части 2 и 2.1 ст. 13.11 КоАП РФ («Нарушение законодательства Российской Федерации в области персональных данных») следующих изменений:

Действующая редакция	Редакция Законопроекта
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных,	2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, а равно размещение биометрических персональных данных субъекта персональных данных в единой биометрической системе, в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, с нарушением установленных законодательством Российской Федерации в области персональных данных требований,
за исключением случаев, предусмотренных статьей 17.13 настоящего Кодекса, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, – влечет наложение административного штрафа на граждан в размере от 6 000 до 10 000 рублей;	Без изменений
на должностных лиц – от 20 000 до 40 000 рублей;	на должностных лиц – от 100 000 до 300 000 рублей;
на юридических лиц – от 30 000 до 150 000 рублей.	на юридических лиц – от 300 000 до 700 000 рублей.
2.1. Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи, – влечет наложение административного штрафа на граждан в размере от 10 000 до 20 000 рублей;	Без изменений
на должностных лиц – от 40 000 до 100 000 рублей;	на должностных лиц – от 300 000 до 500 000 рублей;
на индивидуальных предпринимателей – от 100 000 до 300 000 рублей;	на индивидуальных предпринимателей – от 500 000 до 1 000 000 рублей;
на юридических лиц – от 300 000 до 500 000 рублей.	на юридических лиц – от 1 000 000 до 1 500 000 рублей.

1. Увеличение штрафов за отсутствие письменного согласия субъекта

Напомним, что в случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных (ч. 4 ст. 9 Закона о персональных данных). К таким согласиям можно отнести:

согласие субъекта на обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных) (ч. 1 ст. 11 Закона о персональных данных), в том числе согласие физического лица на обработку биометрических персональных данных в целях проведения его аутентификации (п. 5 ч. 3 ст. 16 Федерального закона от 29.12.2022 № 572-ФЗ[1]);
согласие субъекта на обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (п. 1 ч. 2 ст. 10 Закона о персональных данных);
согласие работника на получение его персональных данных у третьей стороны (п. 3 ст. 86 Трудового кодекса РФ);
согласие работника на передачу его персональных данных третьей стороне, в том числе в коммерческих целях (ст. 88 Трудового кодекса РФ);
согласие субъекта на включение его персональных данных в общедоступные источники персональных данных, в том числе справочники, адресные книги (ч. 1 ст. 8 Закона о персональных данных);
согласие субъекта на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего в отношении него юридические последствия или иным образом затрагивающего его права и законные интересы (ч. 2 ст. 16 Закона о персональных данных).

Как указано в таблице выше, Законопроект предусматривает значительное увеличение штрафов (для юридических лиц – в 3-10 раз) за обработку персональных данных без согласия в письменной форме в случаях, когда такое согласие должно быть получено в соответствии с законодательством.

Напомним, что равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью (ч. 4 с. 9 Закона о персональных данных).

2. Штрафы за обработку биометрических персональных данных с нарушением установленных требований

Напомним, что к биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11 Закона о персональных данных).

К биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись) (Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания» вместе с «Практическими рекомендациями по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических персональных данных несовершеннолетних»).

Особое значение имеет вопрос возможности квалификации изображения человека в качестве биометрических персональных данных.

Так, фотографические изображения посетителей организации, содержащиеся в системе контроля управления доступа (СКУД), будут являться биометрическими персональными данными, поскольку они характеризуют физиологические и биологические особенности человека, позволяют установить, принадлежит ли данному лицу предъявляемый СКУД пропуск, на основе которого можно установить его личность путем сравнения фото с лицом предъявителя пропуска и указываемых владельцем пропуска фамилии, имени и отчества с указанными в СКУД. Таким образом, фотографическое изображение и иные сведения, используемые для обеспечения однократного и/или многократного прохода на охраняемую территорию и установления личности гражданина, также относятся к биометрическим персональным данным (Письмо Роскомнадзора от 10.02.2020 № 08АП-6782 «О направлении информации по протоколу совещания» (вместе с «Практическими рекомендациями по применению положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» при обработке биометрических персональных данных несовершеннолетних»); Письмо Минцифры России от 17.07.2020 № ОП-П24-070-19433 «О рассмотрении обращения»).

Правоприменительная практика по данному вопросу противоречива.

Не относятся к биометрическим персональным данным (Письмо Минкомсвязи России от 28.08.2020 № ЛБ-С-074-24059 «О методических рекомендациях» (вместе с «Методическими рекомендациями для общеобразовательных организаций по вопросам обработки персональных данных»):

данные, полученные при сканировании паспорта оператором персональных данных для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т. п.), т. е. без проведения процедур идентификации (установления личности);
данные, полученные при осуществлении ксерокопирования документа, удостоверяющего личность;
фотографическое изображение, содержащееся в личном деле работника;
подпись лица, наличие которой в различных договорных отношениях является обязательным требованием, и почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;
рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека и находящиеся в истории болезни (медицинской карте) пациента (не имеет значения, бумажной или электронной), поскольку они не используются оператором (медицинским учреждением) для установления личности пациента;
материалы видеосъемки в публичных местах и на охраняемой территории.

3. Единая биометрическая система (ЕБС)

В случае если проверка биометрических персональных данных осуществляется автоматизированно, а не с участием уполномоченного должностного лица организации, то на организацию может распространяться действие Федерального закона от 29.12.2022 № 572-ФЗ, в соответствии с которым:

Для осуществления идентификации и (или) аутентификации физических лиц используется Единая биометрическая система (ЕБС);
Обработка биометрических персональных данных вне ЕБС запрещена, за исключением случаев, предусмотренных Федеральным законом;
Предоставление физическими лицами своих биометрических персональных данных в целях, предусмотренных настоящим Федеральным законом, не может быть обязательным;
Отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических персональных данных не может служить основанием для отказа ему в оказании услуги, продаже товаров, выполнении работ или отказа в приеме на обслуживание;
Запрещается осуществление идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, при которых необходима трансграничная передача биометрических персональных данных;
Организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, – организации, владеющие информационными системами, обеспечивающими аутентификацию на основе биометрических персональных данных физических лиц, и (или) оказывающие услуги по аутентификации на основе биометрических персональных данных физических лиц, применяющие для этих целей векторы единой биометрической системы и прошедшие аккредитацию в порядке, установленном в соответствии с настоящим Федеральным законом;
Аккредитация организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, предполагает в качестве одного из условий минимальный размер собственных средств (капитала) не менее чем 500 миллионов рублей.

О чем подумать, что сделать?

Рекомендуем всем заинтересованным лицам:

определить, осуществляет ли организация обработку персональных данных в случаях, требующих получения согласия в письменной форме;
разработать соответствующие формы согласий, содержащие установленный перечень информации;
обеспечить получение согласий в письменной форме, включая при необходимости получение согласий в форме электронного документа, подписанного электронной подписью;
определить, являются ли персональные данные, обрабатываемые организацией, биометрическими персональными данными (включая квалификацию изображения человека в качестве биометрических персональных данных);
установить применимость к деятельности организации положений Федерального закона от 29.12.2022 № 572-ФЗ;
подтвердить наличие в организации необходимых документов, регулирующих обработку персональных данных, в том числе биометрических персональных данных.

Помощь консультанта

Специалисты «Пепеляев Групп» готовы оказать компаниям всестороннюю юридическую поддержку в связи с обработкой организациями персональных данных, включая биометрические персональные данные.

Спектр услуг «Пепеляев Групп» включает следующие:

1. Разработка пакета необходимых форм согласий, включая:

согласие субъекта на обработку персональных данных в соответствии с отдельными целями обработки персональных данных оператора (согласие на обработку персональных данных кандидата на вакантную должность, согласие на обработку персональных данных родственника работника, согласие на обработку персональных данных посетителя сайта и иные);
согласие субъекта на поручение обработки персональных данных;
согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
согласие субъекта на обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации;
согласие субъекта на обработку биометрических персональных данных;
согласие субъекта на обработка специальных категорий персональных данных;
согласие работника на получение его персональных данных у третьей стороны;
согласие работника на передачу его персональных данных третьей стороне, в том числе в коммерческих целях;
согласие субъекта на включение его персональных данных в общедоступные источники персональных данных;
согласие субъекта на принятие на основании исключительно автоматизированной обработки его персональных данных решения, порождающего в отношении него юридические последствия или иным образом затрагивающего его права и законные интересы.

2. Консультирование по вопросам соблюдения письменной формы согласий, включая вопросы использования электронных подписей.

3. Помощь в организации процесса получения согласий.

4. Разработка соглашений об электронном взаимодействии.

5. Помощь в определении, являются ли персональные данные, обрабатываемые организацией, биометрическими персональными данными.

6. Анализ применимости к деятельности организации положений Федерального закона от 29.12.2022 № 572-ФЗ.

7. Разработка необходимых документов, регулирующих обработку персональных данных, в том числе биометрических персональных данных.

[1] Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

Вам понравился материал?

Если Вы заметили ошибку или опечатку, выделите ее и нажмите CTRL+Q

Авторы

Николай Солодовников

Партнер

n.solodovnikov@pgplaw.ru

Полина Бардина

Руководитель цифровой группы

p.bardina@pgplaw.ru

Наталия Балекина

Юрист

Практики

Персональные данные

Подписаться на рассылку

Вас также может заинтересовать

24.04.2023

Протокол допроса свидетеля в ходе выездной налоговой проверки. Советы при допросе свидетелей

Из этого ролика вы узнаете о таком доказательстве, как протокол допроса свидетеля и что влияет на достоверность показаний свидетеля при выездной налоговой проверке. Вы та...

Смотреть

13.12.2024

Персональные данные. Дайджест за 15 ноября - 11 декабря 2024 г.

Главные новости: опубликован закон об оборотных штрафах для компаний за повторную утечку персональных данных; вступил в...

15.11.2024

Персональные данные. Дайджест за 1-14 ноября 2024 г.

Главные новости: страховщики запустят возмещения от утечек данных до конца 2025 года; Роскомнадзор заявил об утеч...

02.11.2024

Персональные данные. Дайджест за май-октябрь 2024 г.

Главные новости: Приказ Министерства транспорта Российской Федерации от 02.05.2024 № 162 «Об утверждении порядка ...

29.10.2024

Весьма чувствительные. Как правильно обрабатывать персональные данные пациентов

Совет Федерации предложил обязать компании, работающие с персональными данными клиентов, иметь финансовое обеспечение. К...